Ich habe vor Kurzem als Sysops-Ingenieur angefangen. Mir fehlen jedoch noch einige Grundlagen, insbesondere in Bezug auf SSL/TLS-Zertifikate und ihre Beziehung zu DNS.
Hier ist der Anwendungsfall:
- Ein Unternehmen, mit dem wir zusammenarbeiten, hat eine eigene Website und eigene Domains mit eigenen SSL-Zertifikaten. Wir nennen die Domain, die ich hier verwenden möchtedata.example.com
- Wir hosten unsere eigene Website und Domains mit unseren eigenen SSL-Zertifikaten. Wir nennen unsere Domain, die ich hier verwenden möchteunseredaten.unserbeispiel.com
- Was das Unternehmen, mit dem wir zusammenarbeiten, möchte, ist, dass Sie, wenn Sie zuhttps://data.example.comerhalten Sie tatsächlich den Inhalt vonhttps://ourdata.ourexample.com
Hierzu gibt es meines Wissens nach zwei Möglichkeiten:
- (für mich ziemlich klar) Erstellen Sie eine Weiterleitung auf Webserverebene entweder über nginx/apache: Dies impliziert, dass beide Domänen weiterhin über ihre eigenen SSL-Zertifikate verfügen, aber es geht lediglich darum, einige Zeilen in eine Konfigurationsdatei zu schreiben, und hat nichts mit einer DNS-Konfiguration zu tun.
- (hier wird es für mich kompliziert) Bitten Sie das Unternehmen, mit dem wir zusammenarbeiten, uns CSR-Informationen zur Verfügung zu stellen (https://en.wikipedia.org/wiki/Certificate_signing_request), damit wir eine CSR-Datei generieren können... aus dem privaten Schlüssel, den wir zum Generieren unserer eigenen SSL-Zertifikate verwenden...? Dann übergeben wir die CSR und sie zahlen für ihr eigenes SSL-Zertifikat. Sie können dann einen neuen CNAME erstellen, der umleitetdata.example.com.Zuourdata.ourexample.com.. Mir wurde gesagt, dass der CSR eine Art öffentlicher Schlüssel ist, weshalb wir ihn problemlos an jemand anderen weitergeben können. Aber selbst wenn diese Beschreibung den Vorgang richtig beschreibt, ist mir ehrlich gesagt schleierhaft, was wo passiert und warum das gemacht wird.
Schließlich ist mir in dem Fall, in dem CSR von unserer Seite generiert und der CNAME erstellt wurde, Folgendes aufgefallen: Wenn wir zuhttps://data.example.comsehen wir den Inhalt vonhttps://ourdata.ourexample.comund die im Browser angezeigte URL bleibthttps://data.example.com. Ich bin nicht sicher, ob dies mit der Konfiguration eines Webservers oder mit den DNS-„Einstellungen“ zusammenhängt.
Ich hoffe, dass meine Beschreibung einigermaßen klar ist. Wenn nicht, lassen Sie es mich wissen und ich werde versuchen, weitere Einzelheiten zu liefern.
Hinweis: Ich habe bereits versucht, einige Antworten darauf zu finden, aber obwohl ich hier und da ein paar Dinge verstanden habe, ist es immer noch nicht 100 % klar.
Danke, SilentSib
Antwort1
Ich gehe davon aus, dass data.example.comes gehostet wird aufdeinRäumlichkeiten und example.commöchte nicht, dass ihre Kunden sehen, dass Sie die Dienste erbringen.
Wenn das der Fall ist, brauchen Sie nur zwei Apachevirtuelle Hostsoder zwei nginxVirtuelle Serverdie für die Bereitstellung desselben Inhalts konfiguriert sind.
Und was ist mit den Zertifikaten? Das ist nicht sehr kompliziert, wenn man die Konzepte versteht:Public-Key-Kryptographie.
Im Grunde (in einem der am häufigsten eingesetzten Algorithmen,RSA), haben Sie zwei Schlüssel Aund B. Mit verschlüsselte Daten Akönnen nur mit entschlüsselt werden B( Akönnen nicht entschlüsselt werden) und umgekehrt. Sie verteilen einen davon und nennen ihnÖffentlicher Schlüssel, das andere wird geheim gehalten und genanntPrivat Schlüssel. Der öffentliche Schlüssel wird zum Verschlüsseln von Daten verwendet, die nur Sie entschlüsseln können. Der private Schlüssel kann auch zum Signieren verwendet werden: Indem Sie eine vorher vereinbarte Bytefolge (z. B. den Hash einer Nachricht) mit dem privaten Schlüssel verschlüsseln, kann jeder andere sie entschlüsseln und überprüfen, ob Sie den privaten Schlüssel haben.
Die anderen Teile desPublic-Key-InfrastrukturSind:
- Zertifikate: eine Datei, die Ihren öffentlichen Schlüssel, Ihren Domänennamen und einige andere Daten enthält, signiert von einem vertrauenswürdigenPrivat Schlüssel(dessen öffentlicher Schlüssel von jedem Browser verteilt und als vertrauenswürdig eingestuft wird). Nur derDomänennamesteht auf dem Zertifikat, keine anderen Daten daraus
DNS(Sie können natürlich darum bitten, dass Ihre IP-Adresse dem Zertifikat hinzugefügt wird, wenn Sie möchten), Sie müssen sie also nicht ändern, wenn sich etwas ändert. - CSR: fast dasselbe wie ein Zertifikat. Es enthält Ihren öffentlichen Schlüssel, Ihren Domänennamen und einige andere Daten, signiert von IhremPrivat Schlüssel(um zu zeigen, dass Sie den Schlüssel haben). In der Praxis verwenden Zertifizierungsstellen nur den öffentlichen Schlüssel aus der CSR und manchmal den Domänennamen (wenn sie ihn nicht aus einem HTML-Formular entnehmen).
Private Schlüssel sind günstig (sie lassen sich auf einem ausgelasteten Server in wenigen Sekunden generieren). Es ist sehr unwahrscheinlich, dass Ihr Client für data.example.comund denselben privaten Schlüssel verwendet example.com(es sei denn, beide Namen stehen auf demselben Zertifikat). Also:
- Wenn Ihr Kunde bereits ein Zertifikat für hat
data.example.com, bitten Sie ihn, Ihnen das Zertifikat und den entsprechenden privaten Schlüssel (auf sichere Weise) zuzusenden. Er wird sie nicht mehr verwenden, - Wenn Ihr Client kein Zertifikat für hat
data.example.com, generieren Sie einneuprivaten Schlüssel und zertifizieren Sie ihn.NichtVerwenden Sie den privaten Schlüssel für Ihre anderen Domänen. Normalerweise generiert man einen neuen privaten Schlüssel, auch wenn man ein Zertifikat erneuert. Wenn Sieourdata.example.netdas gleiche Zertifikat verwenden, ist für alle ersichtlich, werdata.example.comdie Dienste bereitstellt. - Sie können auchLass uns verschlüsselnsofern Ihr Kunde den Bedingungen zustimmt. So erhalten Sie in Sekundenschnelle und ohne Zusatzkosten ein gültiges Zertifikat.